信創(chuàng)Linux操作系統(tǒng)管理（統(tǒng)信UOS版）項(xiàng)目十 網(wǎng)絡(luò)服務(wù)器搭建

項(xiàng)目十網(wǎng)絡(luò)服務(wù)器搭建目錄1-項(xiàng)目背景3-DHCP服務(wù)器搭建2-項(xiàng)目目標(biāo)4-FTP服務(wù)器搭建5-網(wǎng)絡(luò)資源共享配置1項(xiàng)目背景項(xiàng)目背景小明在一家企業(yè)里擔(dān)任網(wǎng)絡(luò)管理員，需要搭建相應(yīng)的網(wǎng)絡(luò)服務(wù)器滿足公司日常的網(wǎng)絡(luò)服務(wù)需求。其中，DHCP服務(wù)器用來對企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行ip分配，F(xiàn)TP服務(wù)器方便工作上的文件共享，Samba和NFS服務(wù)器滿足大家的網(wǎng)絡(luò)資源共享需求。2項(xiàng)目目標(biāo)項(xiàng)目十網(wǎng)絡(luò)服務(wù)器搭建【項(xiàng)目目標(biāo)】知識目標(biāo)了解DHCP、FTP、Samba和NFS服務(wù)的工作原理了解DHCP、FTP、Samba和NFS的工作流程技能目標(biāo)會安裝DHCP、FTP、Samba和NFS會配置DHCP、FTP、Samba和NFS的配置會配置防火墻素質(zhì)目標(biāo)能夠根據(jù)實(shí)踐需要，利用上網(wǎng)等方式查詢并整理相關(guān)知識能與理論聯(lián)系實(shí)際具有良好的開拓進(jìn)取精神培養(yǎng)精益求精、密益求密的工作態(tài)度培養(yǎng)認(rèn)真負(fù)責(zé)、善于思考總結(jié)的工作作風(fēng)培養(yǎng)遵紀(jì)守法的法律意識，工作過程中嚴(yán)格遵守規(guī)章制度培養(yǎng)崗位所需的規(guī)范操作的能力，具備相應(yīng)的職業(yè)道德3

DHCP服務(wù)器搭建DHCP服務(wù)器搭建一、DHCPDHCP（DynamicHostConfigurationProtocol，動態(tài)主機(jī)配置協(xié)議）是TCP/IP協(xié)議簇中的一種，主要為網(wǎng)絡(luò)客戶機(jī)分配動態(tài)的IP地址。被分配的IP地址是DHCP服務(wù)器預(yù)先保留的由多個地址組成的地址集，一般是一段連續(xù)的地址。1.DHCP服務(wù)使用DHCP時(shí)必須在網(wǎng)絡(luò)上有一臺DHCP服務(wù)器，而其他機(jī)器執(zhí)行DHCP客戶端。當(dāng)DHCP客戶端程序發(fā)出一個信息，要求一個動態(tài)的IP地址時(shí)，DHCP服務(wù)器會根據(jù)目前已經(jīng)配置的地址，提供一個可供使用的IP地址和子網(wǎng)掩碼給客戶端。2.DHCP分配地址的方式

DHCP使用客戶/服務(wù)器模式，網(wǎng)絡(luò)管理員建立一個或多個DHCP服務(wù)器，在這些服務(wù)器中保存了可以提供給客戶機(jī)的TCP/IP配置信息。這些信息包括網(wǎng)絡(luò)客戶的有效配置參數(shù)、分配給客戶的有效IP地址池(其中包括為手工配置而保留的地址)、服務(wù)器提供的租約持續(xù)時(shí)間。DHCP服務(wù)器有3種為DHCP客戶機(jī)分配TCP/IP地址的方式。（1）手工分配：在手工分配中，網(wǎng)絡(luò)管理員在DHCP服務(wù)器通過手工方法配置DHCP客戶機(jī)的IP地址。當(dāng)DHCP客戶機(jī)要求網(wǎng)絡(luò)服務(wù)時(shí)，DHCP服務(wù)器把手工配置的IP地址傳遞給DHCP客戶機(jī)。（2）自動分配：在自動分配中，不需要進(jìn)行任何的IP地址手工分配。當(dāng)DHCP客戶機(jī)第一次向DHCP服務(wù)器租用到IP地址后，這個地址就永久地分配給了該DHCP客戶機(jī)，而不會再分配給其他客戶機(jī)。（3）動態(tài)分配：當(dāng)DHCP客戶機(jī)向DHCP服務(wù)器租用IP地址時(shí)，DHCP服務(wù)器只是暫時(shí)分配給客戶機(jī)一個IP地址。只要租約到期，這個地址就會還給DHCP服務(wù)器，以供其他客戶機(jī)使用。如果DHCP客戶機(jī)仍需要一個IP地址來完成工作，則可以再要求另外一個IP地址。二、

DHCP的工作流程DHCP客戶機(jī)在啟動時(shí)，會搜尋網(wǎng)絡(luò)中是否存在DHCP服務(wù)器。如果找到，則給DHCP服務(wù)器發(fā)送一個請求。DHCP服務(wù)器接到請求后，為DHCP客戶機(jī)選擇TCP/IP配置的參數(shù)，并把這些參數(shù)發(fā)送給客戶端。如果已配置沖突檢測設(shè)置，則DHCP服務(wù)器在將租約中的地址提供給客戶機(jī)之前會使用Ping測試作用域中每個可用地址的連通性。這可確保提供給客戶的每個IP地址都沒有被使用手動TCP/IP配置的另一臺非DHCP計(jì)算機(jī)使用。根據(jù)客戶端是否第一次登錄網(wǎng)絡(luò)，DHCP的工作形式會有所不同?？蛻舳藦腄HCP服務(wù)器上獲得IP地址的所有過程可以分為六個步驟，尋找DHCP服務(wù)器分配IP地址接收IP地址IP地址分配確認(rèn)重新登錄更新租約1.尋找DHCP服務(wù)器當(dāng)DHCP客戶端第一次登錄網(wǎng)絡(luò)的時(shí)候，計(jì)算機(jī)發(fā)現(xiàn)本機(jī)上沒有任何IP地址設(shè)定，將以廣播方式發(fā)送DHCPdiscover發(fā)現(xiàn)信息來尋找DHCP服務(wù)器，即向55發(fā)送特定的廣播信息。網(wǎng)絡(luò)上每一臺安裝了TCP/IP協(xié)議的主機(jī)都會接收這個廣播信息，但只有DHCP服務(wù)器才會做出響應(yīng)。2.分配IP地址在網(wǎng)絡(luò)中接收到DHCPdiscover發(fā)現(xiàn)信息的DHCP服務(wù)器就會做出響應(yīng)，它從尚未分配的IP地址池中挑選一個分配給DHCP客戶機(jī)，向DHCP客戶機(jī)發(fā)送一個包含分配的IP地址和其他設(shè)置的DHCPoffer提供信息3.接收IP地址DHCP客戶端接收到DHCPoffer提供信息之后，選擇第一個接收到的提供信息，然后以廣播的方式回答一個DHCPrequest請求信息，該信息包含向它所選定的DHCP服務(wù)器請求IP地址的內(nèi)容。4.IP地址分配確認(rèn)當(dāng)DHCP服務(wù)器收到DHCP客戶端回答的DHCPrequest請求信息之后，便向DHCP客戶端發(fā)送一個包含它所提供的IP地址和其他設(shè)置的DHCPack確認(rèn)信息，告訴DHCP客戶端可以使用它提供的IP地址。然后，DHCP客戶機(jī)便將其TCP/IP協(xié)議與網(wǎng)卡綁定，另外，除了DHCP客戶機(jī)選中的DHCP服務(wù)器外，其他的DHCP服務(wù)器將收回曾經(jīng)提供的IP地址。5.重新登錄以后DHCP客戶端每次重新登錄網(wǎng)絡(luò)時(shí)，就不需要再發(fā)送DHCPdiscover發(fā)現(xiàn)信息了，而是直接發(fā)送包含前一次所分配的IP地址的DHCPrequest請求信息。當(dāng)DHCP服務(wù)器收到這一信息后，它會嘗試讓DHCP客戶機(jī)繼續(xù)使用原來的IP地址，并回答一個DHCPACK確認(rèn)信息。如果此IP地址已無法再分配給原來的DHCP客戶機(jī)使用時(shí)，則DHCP服務(wù)器給DHCP客戶機(jī)回答一個DHCPNACK否認(rèn)信息。當(dāng)原來的DHCP客戶機(jī)收到此DHCPNACK否認(rèn)信息后，它就必須重新發(fā)送DHCPdiscover發(fā)現(xiàn)信息來請求新的IP地址。6.更新租約DHCP服務(wù)器向DHCP客戶機(jī)出租的IP地址一般都有一個租借期限，期滿后DHCP服務(wù)器便會收回出租的IP地址。如果DHCP客戶機(jī)要延長其IP租約，則必須更新其IP租約。DHCP客戶機(jī)啟動時(shí)和IP租約期限到達(dá)租約的50%時(shí)，DHCP客戶機(jī)都會自動向DHCP服務(wù)器發(fā)送更新其IP租約的信息。三、DHCP的主配置文件在主配置文件/etc/dhcp/dhcpd.conf中，包括聲明、參數(shù)和選項(xiàng)3種基本類型的配置項(xiàng)，其作用與表現(xiàn)形式如下。1.聲明聲明用來描述dhcpd服務(wù)器中對網(wǎng)絡(luò)布局的劃分，是網(wǎng)絡(luò)設(shè)置的邏輯范圍。2.參數(shù)參數(shù)由配置關(guān)鍵字和對應(yīng)的值組成，多用來確定DHCP服務(wù)的相關(guān)運(yùn)行參數(shù)（如默認(rèn)租約時(shí)間、最大租約時(shí)間等）。參數(shù)總是以分號“;”結(jié)束，可以位于全局配置或指定的聲明中。3.選項(xiàng)選項(xiàng)由option引導(dǎo)，后面跟具體的配置關(guān)鍵字和對應(yīng)的值，一般用于指定分配給客戶端的配置參數(shù)（如默認(rèn)網(wǎng)關(guān)地址、子網(wǎng)掩碼、DNS服務(wù)器地址等）。選項(xiàng)也是以分號“;”結(jié)束，可以位于全局配置或指定的聲明中。四、DHCP中繼代理需要安裝DHCP中繼及其相關(guān)軟件包，該軟件包為isc-dhcp-relay，它們對應(yīng)的服務(wù)名為dhcrelay.service和isc-dhcp-relay.service（isc-dhcp-relay6.service），用戶可以根據(jù)需要，安裝并使用它們，DHCP中繼在操作系統(tǒng)上搭建不適用于當(dāng)下企業(yè)，因此本項(xiàng)目不進(jìn)行設(shè)置。<任務(wù)實(shí)施>一、安裝DHCP使用apt工具用來安裝Debian軟件倉庫中的ISC軟件，來創(chuàng)建這個多宿主服務(wù)器，需要使用root或者sudo訪問權(quán)限。（注：下面中括號里面是注釋，使用的時(shí)候請刪除，#表示使用的root權(quán)限）1.DHCP服務(wù)器軟件包安裝 $sudoapt-getinstallisc-dhcp-server2.服務(wù)管理（1）檢查服務(wù)狀態(tài)： $sudosystemctlstatusisc-dhcp-serverisc-dhcp-server6（2）啟動與禁用服務(wù)： $sudosystemctlenable/disableisc-dhcp-serverisc-dhcp-server6（3）啟動、關(guān)閉、重啟與重載服務(wù)： $sudosystemctlstart/stop/restart/reloadisc-dhcp-serverisc-dhcp-server6二、DHCP的配置DHCP的配置目錄為/etc/dhcp/，IPV4配置文件為/etc/dhcp/dhcpd.conf。（1）配置監(jiān)聽的網(wǎng)卡：$sudovim

/etc/default/isc-dhcp-server（2）修改成自己網(wǎng)卡名稱：INTERFACESv4=”ens33”（3）編輯dhcp配置格式：ddns-update-stylenone; #使用DHCP-DNS互動更新模式 subnetnetmask${ #配置子網(wǎng) range0; #設(shè)置地址池的可用地址范圍 optionsubnet-mask; #設(shè)置子網(wǎng)掩碼 optionrouters; #配置默認(rèn)網(wǎng)關(guān) optiondomain-name""; #設(shè)置域名字 optiondomain-name-servers14; #設(shè)置DNS服務(wù)器ip地址 default-lease-time3600; #設(shè)置默認(rèn)的地址租期 max-lease-time7200; #設(shè)置最長的地址租期三、設(shè)置防火墻IPv4和IPv6的DHCP客戶端和服務(wù)器的使用必須得到防火墻的允許，防火墻的設(shè)置方法如下：$sudoapt

install

firewalld

firewall-config #安裝firewalld$sudofirewall-cmd--permanent--add-service=dhcp #IPv4：（永久）添加dhcp客戶端及服務(wù)端$sudosystemctlrestartfirewalld.service #需要時(shí)，重啟firewalld防火墻2.設(shè)置ufw防火墻$sudoapt-getinstallufw #安裝ufw$sudoufwallowbootps #打開bootps（IPv4服務(wù)端）$sudoufwallowbootpc #打開bootpc（IPv4客戶端）$sudoufwallowdhcpv6-server #打開dhcpv6-server（IPv6服務(wù)端）$sudoufwallowdhcpv6-client #打開dhcpv6-client（IPv6客戶端）四、DHCP服務(wù)器配置企業(yè)內(nèi)部分為DMZ區(qū)和內(nèi)網(wǎng)，配置一臺DHCP服務(wù)器，IP為，DNS服務(wù)器的域名為。IP地址為;WEB服務(wù)器IP地址為0;Samba服務(wù)器IP地址為；內(nèi)網(wǎng)區(qū)的地址范圍為1到50，掩碼為。配置主配置文件/etc/dhcp/dhcpd.conf：subnetnetmask{range150;optiondomain-name-servers;optiondomain-name"";optionrouters54;optionbroadcast-address55;default-lease-time3600;max-lease-time7200;}重啟服務(wù)：$sudosystemctlrestartisc-dhcp-serverisc-dhcp-server64FTP服務(wù)器搭建一、FTP服務(wù)器概述FTP（FileTransferProtocol，文件傳輸協(xié)議）是專門用于傳輸文件的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議。在1990~2000年，互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用被FTP和Web服務(wù)器所占據(jù)，大部分的資源存放在FTP服務(wù)器中?，F(xiàn)在，F(xiàn)TP的應(yīng)用正在減少，但FTP在學(xué)校和科研單位等網(wǎng)絡(luò)中，還是比較重要的服務(wù)。1．FTP服務(wù)FTP是TCP/IP協(xié)議組中的協(xié)議之一。FTP的主要功能是在服務(wù)器和客戶端之間進(jìn)行控制文件的雙向傳輸。該協(xié)議是在網(wǎng)絡(luò)上進(jìn)行文件傳輸?shù)幕A(chǔ)，同時(shí)定義了在遠(yuǎn)程主機(jī)和本地主機(jī)之間傳輸文件的標(biāo)準(zhǔn)，能夠提高文件的共享性。FTP完成兩臺主機(jī)之間的復(fù)制，從遠(yuǎn)程主機(jī)將文件復(fù)制到自己的主機(jī)上是下載文件，將文件從自己的主機(jī)中復(fù)制到遠(yuǎn)程主機(jī)上是上傳文件，即用戶可以通過客戶機(jī)程序向遠(yuǎn)程主機(jī)上傳或下載文件。2．FTP的數(shù)據(jù)傳輸模式FTP支持兩種模式，一種是主動模式，另一種是被動模式。（1）主動模式(Port，也稱Active)：在主動模式下，當(dāng)FTP的客戶端需要與FTP服務(wù)器連接時(shí)，會向服務(wù)端發(fā)送一條命令告訴服務(wù)端：客戶端已經(jīng)在本地打開了一個端口N正在等著你進(jìn)行數(shù)據(jù)連接,服務(wù)端收到命令后會與客戶端打開的端口N建立連接，連接成功后，即可開始傳輸數(shù)據(jù)。（2）被動模式(PASV)：在被動模式下，當(dāng)FTP的客戶端需要與FTP服務(wù)器連接時(shí)，服務(wù)端會發(fā)送信息給客戶端，信息的內(nèi)容是：服務(wù)端已經(jīng)在本地打開了一個端口P，正在等待連接?？蛻舳耸盏叫畔⒑髸c服務(wù)端打開的端口P建立連接，連接成功后，即可開始傳輸數(shù)據(jù)。3．FTP的用戶在正常情況下，用戶登錄服務(wù)器需要進(jìn)行認(rèn)證，才可以訪問、下載和上傳文件。在創(chuàng)建FTP服務(wù)器時(shí)，可以根據(jù)使用者登錄的情況分為3類：本地用戶（realuser）、虛擬用戶（guest）和匿名用戶（anonymous）。（1）本地用戶。如果用戶在FTP服務(wù)器上擁有賬號，這個賬號則為本地用戶。本地用戶可以通過輸入賬號和密碼登錄FTP服務(wù)器。在用戶使用本地用戶登錄FTP服務(wù)器后，其默認(rèn)的主目錄是本地用戶命名的家目錄。在完成服務(wù)器配置后，本地用戶可以上傳或下載文件，系統(tǒng)也可以允許本地用戶作為虛擬用戶工作。（2）虛擬用戶。如果用戶在FTP服務(wù)器上擁有賬號，但是這個賬號只能進(jìn)行ftp文件的傳輸，這個賬號則為虛擬用戶。虛擬用戶也可以通過輸入賬號和密碼登錄FTP服務(wù)器。在用戶使用虛擬用戶登錄FTP服務(wù)器后，其目前所在的位置為虛擬用戶的家目錄。（3）匿名用戶。通常，F(xiàn)TP服務(wù)器都會設(shè)有讓非本地用戶使用的賬號，即匿名用戶。匿名用戶登錄FTP服務(wù)器時(shí)不需要輸入賬號和密碼，但在字符或命令行界面來說，要登錄服務(wù)器，就必須提供匿名用戶的賬號和密碼。在用戶使用匿名用戶登錄FTP服務(wù)器后，其默認(rèn)的位置為/var/ftp目錄，也就是匿名用戶的根目錄。通常，匿名用戶只能下載文件，不能上傳文件。4．匿名FTP匿名FTP是FTP的一個特例，用戶不需要擁有在服務(wù)器上的帳戶。一般情況下，匿名訪問的帳戶名稱是匿名的，此帳戶不需要密碼。通常FTP會要求用戶將其電子郵件地址作為其身份驗(yàn)證的密碼，但一般會進(jìn)行簡單的驗(yàn)證或無需驗(yàn)證。5.Linux系統(tǒng)的FTP服務(wù)器目前，在Linux的環(huán)境下有許多FTP服務(wù)器，比如功能比較簡單的ftpd和oftpd，配置性中等的vsftpd和pure-ftpd，配置性強(qiáng)的proftpd、wu-ftpd和glftpd。VSFTP服務(wù)器VSFTP服務(wù)器（VerySecrueFTPdaemon）在類似UNIX的系統(tǒng)使用，能夠在大多數(shù)的系統(tǒng)上運(yùn)行，支持許多傳統(tǒng)FTP不支持的特征，具有安全、高速、穩(wěn)定的特點(diǎn)。1.vsftpd.conf配置文件在vsftpd服務(wù)器中，所有的配置都基于vsftpd.conf這個配置文件。默認(rèn)配置文件的目錄是/etc/。配置文件的內(nèi)容和Linux系統(tǒng)中的大多數(shù)配置文件一樣，vsftpd的配置文件以#開始注釋。2.vsftpd的配置項(xiàng)vsftpd.conf配置文件中的默認(rèn)配置內(nèi)容比較簡單，安全性和實(shí)用性不高，用戶需要根據(jù)實(shí)際情況對配置文件進(jìn)行設(shè)置和修改，讓vsftpd服務(wù)器更有目的性和針對性，提高文件的安全性和實(shí)用性。如果要編輯配置文件，可以使用vi、vim等文件工具來編輯vsftpd.conf配置文件，在配置完文件后退出插入模式（進(jìn)入文件后使用“i”進(jìn)入插入模式）按“:q”(保存)或“:wq”(強(qiáng)制保存保存)來保存文件，然后重新啟動vsftpd服務(wù)器，來重新加載新配置的內(nèi)容。三、TFTPTFTP（簡單文件傳輸協(xié)議）是TCP/IP協(xié)議族中一種簡單的文件傳輸協(xié)議，用來在客戶端與服務(wù)器之間進(jìn)行文件傳輸。TFTP基于UDP協(xié)議進(jìn)行文件傳輸。與FTP協(xié)議不同的是，TFTP傳輸文件時(shí)不需要用戶進(jìn)行登錄。它只能從文件服務(wù)器上下載或上傳文件，不能列出目錄。TFTP使用UDP協(xié)議的69號端口作為其傳輸，不能列出目錄內(nèi)容，無驗(yàn)證或加密機(jī)制，被用于在遠(yuǎn)程服務(wù)器上讀取或?qū)懭胛募?，因此文件的傳輸過程也不像FTP協(xié)議那樣可靠。但是TFTP不需要客戶端的權(quán)限認(rèn)證，也就減少了無謂的系統(tǒng)和網(wǎng)絡(luò)帶寬消耗，因此在傳輸瑣碎不大的文件時(shí)，效率更加高，目前主要適用于私人的本地網(wǎng)絡(luò)中，常用于PXE無盤啟動，網(wǎng)絡(luò)設(shè)備的設(shè)置等。TFTP可以與DHCP、FTP服務(wù)器配合使用，構(gòu)成組Lima安裝服務(wù)器或備份服務(wù)器。利用安裝服務(wù)器可以進(jìn)行大規(guī)模的Linux操作系統(tǒng)網(wǎng)絡(luò)安裝。在網(wǎng)絡(luò)環(huán)境中，還可以利用Linux的TFTP服務(wù)器下載路由器配置文件，編輯后再上傳到路由器中。四、tftpd服務(wù)器tftpd是用于普通文件傳輸協(xié)議的服務(wù)器，使用TFTP協(xié)議，服務(wù)器正常是由inetd來啟動的，但也可以進(jìn)行獨(dú)立運(yùn)行。tftpd-hpa是一個功能更加強(qiáng)大的TFTP服務(wù)器。它提供了很多TFTP的增強(qiáng)功能，目前tftpd-hpa已經(jīng)移植到大部分的UNIX系統(tǒng)中。六、vsftpd的配置項(xiàng)目1．歡迎信息在用戶登錄FTP服務(wù)器后，服務(wù)器可以向登錄的用戶輸出預(yù)先設(shè)置好的歡迎信息，設(shè)置的方法如下。確定在/etc/vsftpd/vsftpd.conf當(dāng)中是否有以下代碼：dirmessage_enable=YES如果沒有就在配置文件的底部添加該配置項(xiàng)。（1）ftpd_banner=WelcometotheFTPserver：該配置項(xiàng)是輸出歡迎信息，“=”后面輸入的是輸出給登錄FTP服務(wù)器用戶的歡迎信息，在歡迎信息比較多的時(shí)候，可以使用banner_file配置項(xiàng)來輸出。（2）banner_file=welcome：在設(shè)置較多歡迎信息的時(shí)候所使用的文件，“=”后面輸入要存放的文件名。這個配置項(xiàng)會覆蓋ftpd_banner配置項(xiàng)。（3）dirmessage_enable=YES：控制是否啟用目錄提示信息功能，默認(rèn)設(shè)置為YES（啟用）。（4）message_file=file：這個配置項(xiàng)在dirmessage_enable=YES時(shí)，才能生效，默認(rèn)值為.message。2．目錄1）用戶登錄后所在目錄（1）local_root=shared：設(shè)置使用本地用戶登錄FTP服務(wù)器后的所在目錄，默認(rèn)值為無，默認(rèn)的位置為用戶家目錄的位置。（2）anon_root=shared：設(shè)置使用匿名用戶登錄FTP服務(wù)器后的所在目錄，默認(rèn)值為為無，默認(rèn)的位置為/srv/ftp/。2）用戶是否運(yùn)行切換到其他目錄默認(rèn)配置如下：（1）當(dāng)chroot_list_enable=yes，chroot_local_user=yes時(shí)，在/etc/vsftpd/chroot_list文件中列出的用戶可以切換到上級目錄，未在文件中列出的用戶不能切換到站點(diǎn)根目錄的上級目錄。（2）當(dāng)chroot_list_enable=yes，chroot_local_user=no時(shí)，在/etc/vsftpd/chroot_list文件中列出的用戶不能切換到站點(diǎn)根目錄的上級目錄，未在文件中列出的用戶可以切換到上級目錄。（3）當(dāng)chroot_list_enable=no，chroot_local_user=yes時(shí)，所有用戶均不能切換到上級目錄。（4）當(dāng)chroot_list_enable=no，chroot_local_user=no時(shí)，所有用戶均可以切換到上級目錄。2）本地用戶訪問控制設(shè)置（1）userlist_enable=YES/NO：如果同時(shí)設(shè)置了userlist_deny=YES，則user_list文件中的用戶將不允許登錄FTP服務(wù)器，甚至沒有輸入密碼的提示信息。（2）userlist_deny=YES/NO：設(shè)置是否阻止user_list文件中的用戶登錄FTP服務(wù)器，默認(rèn)為YES。（3）userlist_file=file:在userlist_enable=YES的時(shí)候所使用的文件名,作用是限制名單文件放置的路徑。3）pamservice設(shè)置需要在vsftpd.conf配置文件中使用pam_service_name進(jìn)行配置。使用pam_service_name可以指定/etc/pam.d/中的一個能用于控制vsftpd服務(wù)的文件，語句如下：pam_service_name=vsftpd/ec/pam.d/vsftpd中的內(nèi)容還有下一行信息：authrequiredpam_listfile.soitem=usersense=denyfile=/etc/ftpusersonerr=succeed4）訪問速度（1）anon_max_rate=0：如果允許匿名登錄，限制匿名用戶傳輸速率，單位bite，默認(rèn)值為0，不受限制。（2）local_max_rate=0：本地用戶傳輸速率，單位bite，默認(rèn)值為0，不受限制。4．用戶配置文件（1）vsftpd服務(wù)器允許讓不同的用戶使用不同的配置，這個可以通過用戶的配置文件來實(shí)現(xiàn)。（2）user_config_dir=/etc/ftp/：設(shè)置用戶的單獨(dú)配置文件，用哪個帳戶登陸就用哪個帳戶命名。默認(rèn)設(shè)置為無。在配置文件里添加了該配置項(xiàng)后，用戶登錄到FTP服務(wù)器時(shí)，服務(wù)器就會到user_config_dir指定的目錄下去讀取與當(dāng)前用戶所對應(yīng)的配置文件，并且會對照配置文件中的配置項(xiàng)，執(zhí)行配置項(xiàng)，對當(dāng)前的用戶進(jìn)行進(jìn)一步的配置。因此，要想對不同用戶的訪問速度和權(quán)限等進(jìn)行控制，那么就可以通過用戶文件來實(shí)現(xiàn)。5．與連接相關(guān)的設(shè)置（1）listen=YES/NO：設(shè)定是否支持IPv4。如果設(shè)置為YES，則vsftpd將以獨(dú)立模式運(yùn)行，由vsftpd自己監(jiān)聽和處理IPv4端口的連接請求。（2）listen_ipv6=YES/NO：設(shè)定是否支持IPV6。（3）max_clients=0：設(shè)置vsftpd允許的最大連接數(shù)，如果超出連接數(shù)，超出的將拒絕建立連接，默認(rèn)為0，不受限制。該配置項(xiàng)只能在運(yùn)行standalone模式時(shí)有效。（4）max_per_ip=3：設(shè)置每個IP地址允許與FTP服務(wù)器同時(shí)建立的最大連接數(shù)目默認(rèn)為0，不受限制。該配置項(xiàng)只能在運(yùn)行standalone模式時(shí)有效。（5）listen_address=IP地址：綁定到某個IP地址,其它IP地址不能訪問。（6）idle_session_timeout=600：設(shè)置多長時(shí)間不對FTP服務(wù)器進(jìn)行任何操作，則斷開該FTP連接，單位為秒，默認(rèn)為600秒。（7）data_connection_timeout=120：設(shè)置建立FTP數(shù)據(jù)連接的超時(shí)時(shí)間，默認(rèn)為300秒。（8）accept_timeout=60：設(shè)置建立被動模式（PASV）數(shù)據(jù)連接的超時(shí)時(shí)間，單位為秒，默認(rèn)值為60秒。（9）connect_timeout=60：主動模式（PORT）下建立數(shù)據(jù)連接的超時(shí)時(shí)間，單位為秒，默認(rèn)值為60秒。6．FTP工作方式及端口設(shè)置（1）listen_port=21：設(shè)置FTP服務(wù)器建立連接所偵聽的端口，默認(rèn)值為21。（2）ftp_data_port=20：設(shè)置主動模式（PORT）下FTP數(shù)據(jù)連接所使用的端口，默認(rèn)值為20。（3）connect_from_port_20=YES：啟用FTP數(shù)據(jù)端口的數(shù)據(jù)連接。指定FTP使用20端口進(jìn)行數(shù)據(jù)傳輸，默認(rèn)值為NO。（4）pasv_max_port=0：設(shè)置在被動模式（PASV）下，數(shù)據(jù)連接能夠使用的端口范圍的上界。默認(rèn)值為0，表示任意端口。（5）pasv_min_port=0：使用FTP設(shè)置在被動模式（PASV）下，數(shù)據(jù)連接能夠使用的端口范圍的下界。默認(rèn)值為0，表示任意端口。7．文件傳輸1）傳輸模式（1）ascii_upload_enable=YES/NO：啟用上傳的ASCII傳輸方式。設(shè)置是否啟用ASCII模式上傳數(shù)據(jù)。默認(rèn)值為YES。（2）ascii_download_enable=YES/NO：啟用下載的ASCII傳輸方式，設(shè)置是否啟用ASCII模式下載數(shù)據(jù)。默認(rèn)值為YES。2）上傳文檔的屬性關(guān)系和權(quán)限（1）chown_uploads=YES/NO：(默認(rèn)NO)指定上傳文件的默認(rèn)的所有者和權(quán)限；（2）chown_username=xiang：指定匿名用戶上傳文件的所屬者是"xiang"（3）chown_upload_mode=777：指定匿名用戶上傳文件的權(quán)限。默認(rèn)設(shè)置為0666。（4）local_umask=022：設(shè)置本地用戶新增文件的掩碼，也可以說是FTP上本地的文件權(quán)限，默認(rèn)值為022。所對應(yīng)的文件權(quán)限是644.（5）anon_umask=022：設(shè)置匿名用戶新增文件的掩碼，默認(rèn)值為077。3）日志文件

（1）xferlog_enable=YES/NO：是否讓系統(tǒng)自動維護(hù)上傳和下載的日志文件，默認(rèn)為/var/log/vsftpd.log。（2）xferlog_file=/var/log/vsftpd.log：設(shè)定系統(tǒng)維護(hù)記錄FTP服務(wù)器上傳和下載情況的日志文件，默認(rèn)為/var/log/vsftpd.log。（3）xferlog_std_format=YES/NO：是否以標(biāo)準(zhǔn)xferlog的格式書寫傳輸日志文件，默認(rèn)為/var/log/xferlog。8．其他（1）text_userdb_names=YES/NO：在執(zhí)行l(wèi)s命令時(shí)，是顯示UID、GID還是顯示出具體的用戶名或組名稱，默認(rèn)為NO。若希望顯示用戶名和組名稱，則設(shè)置為YES。（2）ls_recurse_enable=YES/NO：是否允許執(zhí)行“l(fā)s–R”命令，默認(rèn)值為NO。<任務(wù)實(shí)施>一、安裝vsftpd在UOS系統(tǒng)中安裝vsftpd服務(wù)器，需要使用apt-get命令和軟件包來安裝，vsftpd的包名稱為vsftp。在安裝前，使用apt-get命令更新下軟件源。#apt-getupdate #更新下軟件源#apt-getinstallvsftpd #安裝vsftpd服務(wù)器和客戶端在安裝完vsftpd服務(wù)器后，需要創(chuàng)建一個文件夾作為目錄（目錄名為ftp）存放vsftp服務(wù)器中的文件。#mkdir/home/ftp #在/home下創(chuàng)建名為ftp的文件夾在創(chuàng)建完目錄后，需要創(chuàng)建用戶（用戶名hxjftp、密碼123456），通過它來訪問ftp服務(wù)器。#useradd-d/home/ftp-s/bin/bashhxjftp#passwdhxjftp#提示輸入密碼二、訪問FTP服務(wù)器1.使用瀏覽器訪問FTP服務(wù)器1）匿名登陸方式打開瀏覽器，在瀏覽器的地址欄里輸入FTP服務(wù)器的IP地址或主機(jī)名。70 #根據(jù)自己的主機(jī)輸入服務(wù)器的IP地址ftp://hxj #根據(jù)自己的主機(jī)輸入服務(wù)器的主機(jī)名2）用戶登錄方式打開瀏覽器，在瀏覽器的地址欄里輸入FTP服務(wù)器的IP地址或者是服務(wù)器的主機(jī)名。并且在IP地址或主機(jī)名前面輸入用戶名。ftp://root@70 #以root用戶為例ftp://root@hxjftp://test@hxj #以test用戶為例在輸入完后,會提示用戶輸入密碼,由于使用的瀏覽器不同的關(guān)系,可能會提示用戶再次輸入用戶名,輸入完成后,就能成功登錄。在受到ftpuser、user_list、防火墻等原因,可能會出現(xiàn)登錄不成功或成功登錄后無法進(jìn)行正常工作的情況。2.使用客戶端命令訪問FTP服務(wù)器1）交互式（1）使用apt命令來安裝FTP客戶端，命令如下：#apt-getinstallftp（2）使用ftp命令訪問FTP服務(wù)器，命令如下：#ftp70

Name(192.168.31.170:root):hxjftp#用戶名為hxjftp，IP地址是70 Password:123456#密碼為123456ftp>ls#列出目錄ftp>putfileA.txt#上傳文件ftp>getfileB.txt#下載文件ftp>by#退出FTP客戶端使用ftp命令訪問FTP服務(wù)器有兩種方式：用戶登錄和匿名登錄。在使用匿名用戶登錄FTP服務(wù)器時(shí)，會使用ftp或anonymous作為登錄FTP的用戶名，密碼為ftp。在使用本地用戶test登錄服務(wù)器時(shí)，將上述交互過程中的用戶名和密碼分別改成test和123456即可。2）腳本方式為了提高FTP服務(wù)器的效率，可以將交互過程中使用的命令放入一個shell腳本文件里：usertest123456lsputfileA.txtgetfileB.txtby將命令保存到ftp.script文件中，命令如下：#ftp-n70<ftp.script#ftp-nhxj<ftp.script使用管道命令如下：#catftp.script|ftp-nhxj將上面的ftp命令行主機(jī)或IP地址的信息添加到FTP服務(wù)器的腳本文件中，這時(shí)，可以在腳本文件的第一行輸入打開通信鏈路的命令：openhxj3）使用即時(shí)文檔將ftp.script1的內(nèi)容作為即時(shí)文檔，執(zhí)行FTP客戶端的腳本命令。使用用戶test登錄FTP服務(wù)器，從hxj上下載所有的*.txt文件，命令如下：#ftp-n-i<<! openhxj usertest123456

mget*.txt!或#ftp-n<<! openhxj usertest123456 prompt mget*.txt!無論是使用即使文檔還是腳本文件，在使用user命令時(shí)，在文本里輸入用戶名和密碼，這是非常不安全，所以盡可能避免使用腳本或即時(shí)文檔來輸入。三、修改vsftpd配置文件（1）打開/etc/vsftpd.conf配置文件，添加以下配置項(xiàng)：#vim/etc/vsftpd.conf #打開vsftpd.conf配置文件write_enable=YES #開啟寫權(quán)限userlist_file=/etc/vsftpd.user_name #設(shè)置用戶列表文件userlist_enable=YES #允許用戶列表文件的用戶登錄FTPuserlist_deny=NO #作用同上，為NO時(shí)允許用戶列表文件的用戶登錄FTP（2）創(chuàng)建用來存放用戶信息存放的用戶列表文件，輸入已經(jīng)創(chuàng)建的用戶名(hxjftp)。#vim/etc/vsftpd.user_name #新建vsftpd.user_name配置文件hxjftp（3）重啟vsftpd服務(wù)器。#servicevsftpdrestart #重新啟動vsftpd服務(wù)器四、vsftpd服務(wù)器配置在完成vsftpd服務(wù)器的安裝和配置后，啟動vsftpd服務(wù)才能讓服務(wù)器開始工作。在統(tǒng)信下，配置文件中允許登錄用戶開啟寫權(quán)限的配置項(xiàng)被注釋掉，因此本地用戶只允許下載而不允許上傳文件，配置過vsftpd服務(wù)器后，本地用戶才能進(jìn)行上傳和下載。1．允許匿名用戶傳輸文件1）下載（1）修改配置文件里的配置項(xiàng)，開啟匿名下載服務(wù)：anonymous_enable=YES（2）在終端輸入以下命令：#systemetlrestartvsftpd（3）重啟服務(wù)器。目前大部分的的FTP服務(wù)器，對匿名用戶只允許下載。2）上傳（1）在一般情況下。匿名用戶只有下載權(quán)限而沒有上傳權(quán)限，匿名用戶上傳需要在vsftpd.conf配置文件中增加或修改下列配置項(xiàng)：write_enable=YES #允許登錄用戶開啟寫權(quán)限anon_upload_enable=YES #允許匿名用戶開啟上傳權(quán)限anon_mkdir_write_enable=YES #允許匿名用戶開啟寫和創(chuàng)建目錄的權(quán)限（2）創(chuàng)建允許匿名用戶上傳文件的目錄，并設(shè)置文件夾的權(quán)限，允許用戶擁有寫權(quán)限，在終端中輸入下列命令：#cd/srv/ftp/ #進(jìn)入到匿名用戶的根目錄，默認(rèn)路徑為/srv/ftp#mkdirpublic #創(chuàng)建匿名用戶上傳文件的目錄public#chown-Rftp:ftppublic #修改主和組#chmod-Rg+wpublic #給同組人添加寫權(quán)限匿名用戶默認(rèn)的用戶身份是ftp，因此需要對上傳用的目錄添加寫權(quán)限，最好將匿名用戶要上傳的目錄的主和組改成ftp，并且同用戶組人都要有寫權(quán)限。2．支持虛擬用戶為了提高vsftpd本地用戶在FTP服務(wù)器上傳文件的安全性，需要使用vsftpd虛擬用戶方式上傳文件。虛擬用戶通過映射到一個真實(shí)系統(tǒng)用戶并設(shè)置相應(yīng)的權(quán)限來訪問FTP服務(wù)器，它不能登錄系統(tǒng)，從而提高系統(tǒng)的安全性。ftp虛擬用戶的配置過程如下。1）建立虛擬用戶和密碼庫文本文件#cd/etc #進(jìn)入到配置目錄，默認(rèn)為/etc/#vimvirtual.txt #編輯一個文本文件，用來存放虛擬用戶的信息（用戶名和密碼）密碼庫文本文件的奇數(shù)行是存放虛擬用戶的用戶名，偶數(shù)行是存放虛擬用戶的密碼，每個虛擬用戶占2行，可以存放多個用戶信息。用戶信息的輸入：虛擬用戶名為virftp、密碼為virtual，文本輸入內(nèi)容如下：virftpvirtual2)生產(chǎn)PAM認(rèn)證使用的數(shù)據(jù)庫文件（1）使用apt命令安裝db_load的軟件包（名稱為db-util）。安裝命令如下：#aptinstalldb-util（2）使用db_load命令生成認(rèn)證使用的數(shù)據(jù)庫文件，命令如下：#db_load-T-thash-fvlogin.txtdatabase.db3)修改權(quán)限#chmod600database.db #修改database.db的權(quán)限為6004)編輯虛擬用戶所需的PAM配置文件vsftpd用戶認(rèn)證所需要的PAM配置文件默認(rèn)位置在/etc/pam.d/vsftpd，在開始編輯文件內(nèi)容前，建議先把文件備份。在編輯/etc/pam.d/vsftpd配置文件時(shí)，要注釋掉里面的所有內(nèi)容，然后在底部添加下面兩行配置項(xiàng)：authrequiredpam_userdb.sodb=/etc/vloginaccountrequiredpam_userdb.so.db=/etc/vlogin5）建立虛擬用戶所使用的系統(tǒng)用戶并為其設(shè)置權(quán)限#useradd-M-d/etc/-Gftp-s/usr/sbin/nologinusvftp #創(chuàng)建虛擬用戶#cd$/srv/ftp #進(jìn)入到匿名用戶的根目錄，默認(rèn)路徑為/srv/ftp#mkdirusvftp1 #創(chuàng)建匿名用戶上傳文件的目錄#chown-Rftp:ftpusvftp1 #修改主和組#chown-Rg+wusvftp1 #給同組人添加寫權(quán)限6）修改主配置文件在編輯vsftpd.conf配置文件時(shí)，在文件底部添加下面的配置項(xiàng)：anon_upload_enable=YES #允許虛擬用戶開啟寫權(quán)限guest_enable=YES #允許啟動虛擬用戶guest_username=usvftp #虛擬用戶的用戶名為usvftppam_service_name=vsftpd #pam的服務(wù)名user_config_dir=/srv/ftp/usv #虛擬用戶的子配置目錄7）創(chuàng)建子配置目錄并生產(chǎn)虛擬用戶使用的子配置文件#mkdir/srv/ftp/usv#cd/srv/ftp/usv編輯文件usvftp1，在文件內(nèi)輸入下面的配置項(xiàng)（創(chuàng)建虛擬用戶usvftp1的子配置文件）。allow_writeable_chroot=YES #允許chroot用戶開啟寫權(quán)限allow_word_readable_only=NO #虛擬用戶可以瀏覽目錄和下載文件allow_other_enable=YES #允許虛擬用戶擁有修改文件名和刪除文件的權(quán)限allow_mkdir_write_enable=YES #允許虛擬用戶擁有創(chuàng)建和刪除目錄的權(quán)限#ocal_root=/srv/ftp/usv #設(shè)置虛擬用戶的工作目錄8）重啟vsftpd服務(wù)#systemctlrestartvsftpd完成以上步驟，一個只能允許虛擬用戶登錄的FTP服務(wù)器就設(shè)置完成了，配置文件里的配置項(xiàng)設(shè)置，決定了虛擬用戶的權(quán)限，本小節(jié)創(chuàng)建了一個虛擬用戶usvftp1，并給了它上傳和下載文件、創(chuàng)建和刪除目錄的權(quán)限。3．配置虛擬用戶與本地用戶能同時(shí)登錄在開啟虛擬用戶后，本地的用戶會被歸類到虛擬用戶里，無法作為本地用戶進(jìn)行登錄，但是在“4．配置支持虛擬用戶的FTP服務(wù)器”中所配置的服務(wù)器，是不能用本地用戶登錄服務(wù)器的，因此，需要在之前配置的基礎(chǔ)上，進(jìn)行如下修改：（1）刪除/etc/pam.d/vsftpd配置文件中添加的注釋符，如果有備份vsftpd配置文件，則將文件覆蓋掉；（2）把下列內(nèi)容中的authrequiredpam_userdb.sodb=$CONF_DIR/vloginaccountrequiredpam_userdb.sodb=$CONF_DIR/vloginrequired修改成sufficient：authsufficientpam_userdb.sodb=$CONF_DIR/vloginaccountsufficientpam_userdb.sodb=$CONF_DIR/vlogin（3）將這兩行配置項(xiàng)添加到/etc/pam.d/vsftpd的第一行后，保存配置文件并重啟vsftpd服務(wù)。4．配置高安全級別的FTP服務(wù)器上面所展示的是服務(wù)器創(chuàng)建的示例。如果想要讓服務(wù)器的安全性更進(jìn)一步提高，可以設(shè)置配置文件里的一些用來保障服務(wù)器的安全和提高服務(wù)器性能的配置項(xiàng)。（1）只能用匿名用戶來登錄訪問，不能使用本地用戶來登錄訪問。anonymous_enable=YES #開啟匿名用戶登錄local_enable=NO #關(guān)閉本地用戶登錄（2）使用ftpd_banner來代替vsftp默認(rèn)的歡迎詞，防止泄露FTP服務(wù)器的相關(guān)信息ftpd_banner=welcometomyFTPserver（3）讓匿名用戶只擁有瀏覽和閱讀文件的權(quán)限，但沒有下載文件的權(quán)限。anon_word_readable_only=YES（4）隱藏文件的主和組的信息，讓匿名用戶看見文件的主和組的信息全是ftp。hide_ids=YES（5）關(guān)閉寫權(quán)限。write_enable=NOanon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NO（6）使用獨(dú)立運(yùn)行模式,并且設(shè)置監(jiān)聽的IP地址或在端口號。#listen=YES #開啟獨(dú)立運(yùn)行模式#listen_address=ipaddress#設(shè)置IP地址。如果本行不存在或者是被注釋掉,那么就采用默認(rèn)的值#listen_port=PORT #設(shè)置端口號。如果本行不存在或者是被注釋掉,那么就采用默認(rèn)的值(21)（7）控制并發(fā)數(shù)，用于限制每個IP地址的并發(fā)數(shù)。max_clients=numerical_valuemax_per_ip=numerical_value（8）限制用戶的下載速度，可根據(jù)自己的需要來設(shè)置。anon_max-rate=50000五、tftpd的配置1．安裝tftpdtftpd服務(wù)的客戶端程序的軟件名是tftp-hpa,而服務(wù)器的軟件包名是tftpd-hpa，要安裝TFTP客戶端和服務(wù)器可以使用以下命令：#apt-getinstalltftpd-hpatftp-hpa2．配置tftpd（1）安裝完tftpd服務(wù)的服務(wù)器和客戶端后，新建一個文件夾作為tftpd服務(wù)器的目錄，并給該目錄讀、寫、執(zhí)行的權(quán)限，命令如下：#mkdir/home/tftp #在home中創(chuàng)建tftp文件夾#chmod-R777/home/tftp #給tftp文件夾讀、寫、執(zhí)行的權(quán)限（2）進(jìn)入/etc/default/tftpd-hpa配置文件，命令如下：#vim/etc/default/tftpd-hpa（3）修改文件的配置項(xiàng)，命令如下：TFTP_USERNAME=“tftp” #用戶名為tftpTFTP_DIRCTORY=“/home/tftp” #目錄為/home/tftpTFTP_ADDRESS=“:69” #地址為:69TFTP_OPTIONS=“-l-c-s”#-l為獨(dú)立運(yùn)行服務(wù)器模式，-c為可創(chuàng)建新文件，-s為指定tftpd-hpa服務(wù)目錄。（4）重啟tftpd-hpa服務(wù)，命令如下：#servicetftpd-hparestart六、登錄tftp服務(wù)器tftp服務(wù)器的登錄方法如下：#tftpIP地址設(shè)tftpd服務(wù)器的主機(jī)名為hxj，IP地址為70，下載和上傳的文件分別為1.txt和2.txt。下載和上傳的用法是相同的，不同的是所使用的命令分別為get和put，具體命令如下:(1)交互方式的代碼如下：#tftp70 #登錄成功顯示tp提示符。進(jìn)入交互界面tftp>get1.txt #下載1.txt文件tftp>put2.txt #上傳2.txt文件tftp>quit #退出TFTP客戶端(2)即時(shí)文檔方式的代碼如下：#tftp192.168.31.170<<EOF get1.txt quitEOF05網(wǎng)絡(luò)資源共享配置一、Samba服務(wù)1.SMB協(xié)議SMB（ServerMessageBlock）是由微軟開發(fā)的一種軟件程序級的網(wǎng)絡(luò)傳輸協(xié)議，主要用來使得一個網(wǎng)絡(luò)上的計(jì)算機(jī)共享計(jì)文件、打印機(jī)、串行端口、通信等資源。它也提供認(rèn)證的進(jìn)行進(jìn)程間通信機(jī)能。經(jīng)過Unix服務(wù)器廠商重新開發(fā)后，它可以用于連接Unix服務(wù)器和Windows客戶機(jī)，執(zhí)行打印和文件共享等任務(wù)。SMB一開始的設(shè)計(jì)是在NetBIOS協(xié)議上運(yùn)行的（而NetBIOS本身則運(yùn)行在NetBEUI、IPX/SPX或TCP/IP協(xié)議上）。從Windows2000開始，微軟引入SMBDirectOverTCP，重新命名為CIFS（CommonInternetFileSystem），并打算將它與NetBIOS脫離，試圖使它成為Internet上計(jì)算機(jī)之間相互共享數(shù)據(jù)的一種標(biāo)準(zhǔn)。CIFS是公開或開放的SMB協(xié)議版本。2.Samba的工作流程Samba服務(wù)功能強(qiáng)大，這與其通信基于SMB/CIFS協(xié)議有關(guān)。SMB不僅提供目錄和打印機(jī)共享，還支持認(rèn)證、權(quán)限設(shè)置。在早期，SMB運(yùn)行于NBT協(xié)議（NetBIOSoverTCP/IP）上，使用UDP協(xié)議的137、138及TCP協(xié)議的139端口；后期SMB經(jīng)過開發(fā)，可以直接運(yùn)行于TCP/IP協(xié)議上，沒有額外的NBT層，使用TCP協(xié)議的445端口。Samba的工作流程主要為四個階段：1)協(xié)議協(xié)商客戶端在訪問Samba服務(wù)器時(shí)，由客戶端發(fā)送一個SMBnegprot請求數(shù)據(jù)報(bào)，并列出它所支持的所有SMB協(xié)議版本。服務(wù)器在接收到請求信息后開始響應(yīng)請求，并列出希望使用的協(xié)議版本，選擇最優(yōu)的SMB類型。如果沒有可使用的協(xié)議版本則返回信息OXFFFFH，結(jié)束通信。2)建立連接SMB協(xié)議版本確定后，客戶端進(jìn)程向服務(wù)器發(fā)起一個用戶或共享的認(rèn)證，這個過程是通過發(fā)送SesssetupX請求數(shù)據(jù)報(bào)實(shí)現(xiàn)的?？蛻舳税l(fā)送一對用戶名和密碼或一個簡單的密碼到服務(wù)器，服務(wù)器則通過發(fā)送一個SesssetupX應(yīng)答數(shù)據(jù)報(bào)來允許或拒絕本次連接。3)訪問共享資源客戶端和服務(wù)器完成了協(xié)商和認(rèn)證后，會發(fā)送一個Tcon或SMBTconX數(shù)據(jù)報(bào)并列出它想訪問網(wǎng)絡(luò)資源的名稱，服務(wù)器則發(fā)送一個SMBTconX應(yīng)答數(shù)據(jù)報(bào)以表示此次連接是否被接受。4)斷開連接連接到相應(yīng)資源，SMB客戶端通過openSMB打開一個文件，通過readSMB讀取文件，通過writeSMB寫入文件，通過closeSMB關(guān)閉文件。3.主配置文件smb.confSamba的配置文件存放在/etc/samba/下面，主配置文件是smb.conf，它指定需要共享的文件目錄、目錄共享權(quán)限、訪問日志名稱與路徑等。主配置文件分成GlobalSettings和SharedDefinitinos。GlobalSettings用來指全局設(shè)置的變量，如安全級別等,對整個服務(wù)器生效；SharedDefinitinos說明共享相關(guān)的定義，是以“#”開頭的注釋行，也有以“；”開頭的配置范例行,默認(rèn)是不生效的，如果想設(shè)置該行生效，則需要刪除“；”。[global] workgroup=MYGROUP serverstring=SambaServerVersion%v security=user passdbbackend=tdbsam loadprinters=yes cupsoptions=raw[homes] comment=HomeDirectories browseable=no writable=yes[printers] comment=AllPrinters path=/var/spool/samba browseable=no guestok=no writable=no printable=yesSamba有Share、User、Server、Domain四種安全等級。（1）Share：用戶不需要賬戶及密碼即可登入Samba服務(wù)器。（2）User：由提供服務(wù)的Samba服務(wù)器負(fù)責(zé)檢査賬戶及密碼（是Samba默認(rèn)的安全等級）。（3）Server：檢查賬戶及密碼的工作指定由另一臺WindowsNT/2000或Samba服務(wù)器負(fù)責(zé)。（4）Domain：指定WindowsNT/2000域控制服務(wù)器來驗(yàn)證器來驗(yàn)證用戶的賬戶及密碼。smb.conf配置文件詳解：（1）[global]：samba服務(wù)器的全局設(shè)置，對整個服務(wù)器有效。（2）workgroup的語法如下：workgtoup=<工作組群>;預(yù)設(shè)：workgroup=MYGROUP說明：設(shè)定SambaServer的工作組例：workgroup=workgroup和WIN2000S設(shè)為一個組，可在網(wǎng)上鄰居可中看到共享。（3）serverstring語法如下：serverstring=<說明>;預(yù)設(shè)：sarverstring=SambaServer說明：設(shè)定SambaServer的注釋（4）hostsallow的語法如下：hostsaoolw=<IP地址>;...預(yù)設(shè)：;hostallow=192.168.1.192.168.2.127.說明：限制允許連接到SambaServer的機(jī)器，多個參數(shù)以空格隔開。表示方法可以為完整的IP地址，如

網(wǎng)段，如192.168.0.例：hostsallow=192.168.1.表示允許192.168.1網(wǎng)段的機(jī)器網(wǎng)址為

的機(jī)器連接到自己的sambaserver（5）printcapname的語法如下：printcapname=<打印機(jī)配置文件>;預(yù)設(shè)：printcapname=/etc/printcap說明：設(shè)定sambasrever打印機(jī)的配置文件例：printcapname=/etc/printcap設(shè)定sambasrever參考/etc/printcap檔的打印機(jī)設(shè)定。（6）loadprinters的語法如下：loadprinters=<yes/no>;預(yù)設(shè)：loadprinters=yes說明：是否在開啟sambaserver時(shí)即共享打印機(jī)。（7）printing的語法如下：printing=<打印機(jī)類型>;預(yù)設(shè)：printing=lprng說明：設(shè)定sambaserver打印機(jī)所使用的類型，為目前所支持的類型。（8）guestaccount的語法如下：guertaccount=<帳戶名稱>;預(yù)設(shè)：guertaccount=pcguest說明：設(shè)定訪問sambaserver的來賓帳戶(即訪問時(shí)不用輸入用戶名和密碼的帳戶)，若設(shè)為pcguest的話則為默認(rèn)為"nobody"用戶。（9）logfile的語法如下：logfile=<日志文件>;預(yù)設(shè)：logfile=/var/log/samba/%m.log說明：設(shè)定sambaserver日志文件的儲存位置和文件名(%m代表客戶端主機(jī)名)（10）maxlogsize的語法如下：maxlogsize=<??KB>;預(yù)設(shè)：maxlogsize=0說明：設(shè)定日子文件的最大容量，單位KB這里的預(yù)設(shè)值0代表不做限制。（11）security的語法如下：security=<等級>;預(yù)設(shè)：security=user設(shè)定訪問sambaserver的安全級別共有四種：①share不需要提供用戶名和密碼；②user需要提供用戶名和密碼，而且身份驗(yàn)證由sambaserver負(fù)責(zé)；③server需要提供用戶名和密碼，可指定其他機(jī)器(winNT/2000/XP)或另一臺sambaserver作身份驗(yàn)證；④domain需要提供用戶名和密碼，指定winNT/2000/XP域服務(wù)器作身份驗(yàn)證。（12）passwordserver的語法如下：passwordserver=<IP地址/主機(jī)名>;預(yù)設(shè)：passwordserver=<NT-Server-Name>;說明：指定某臺服務(wù)器(包括windows和linux)的密碼，作為用戶登入時(shí)驗(yàn)證的密碼。其他：此項(xiàng)需配合security=server時(shí)，才可設(shè)定本參數(shù)。（13）passwordlevel的語法如下：passwordlevel=<位數(shù)>;預(yù)設(shè)：passwordlevel=8（14）usernamelevel的語法如下：usernamelevel=<位數(shù)>;預(yù)設(shè)：usernamelevel=8說明：設(shè)定用戶名和密碼的位數(shù)，預(yù)設(shè)為8位字符。（15）encryptpasswords的語法如下：encryptpasswords=<yes/no>;預(yù)設(shè)：encryptpasswords=yse說明：設(shè)定是否對samba的密碼加密。（16）smbpasswdfile的語法如下：smbpasswdfile=<密碼文件>;預(yù)設(shè)：smbpasswdfile=/etc/samba/smbpasswd說明：設(shè)定samba的密碼文件。（17）localmaster的語法如下：localmaster=<yes/no>;預(yù)設(shè)：localmaster=no說明：設(shè)定sambaserver是否要擔(dān)當(dāng)LMB角色(LMB負(fù)責(zé)收集本地網(wǎng)絡(luò)的BrowseList資源)，通常無特殊原因設(shè)為no（18）oslevel的語法如下：oslevel=<數(shù)字>;預(yù)設(shè)：oslevel=33說明：設(shè)定sambaserver的oslevel.oslevel從0到255.winNT的oslevel為33,win95/98的oslevel是1.若要拿sambaserver當(dāng)LMB或DMB則它的oslevel至少要大于NT的33以上。（19）domainmaster的語法如下：domainmaster=<yes/no>;預(yù)設(shè)：domainmaster=yes說明：設(shè)定sambaserver是否要擔(dān)當(dāng)DMB角色(DMB會負(fù)責(zé)收集其他子網(wǎng)的BrowseList資源)，通常無特殊原因設(shè)為no（20）preferredmaster的語法如下：preferredmaster=<yes/no>;預(yù)設(shè)：preferredmaster=yes說明：設(shè)定sambaserver是否要擔(dān)當(dāng)PDC角色(PDC會負(fù)責(zé)追蹤網(wǎng)絡(luò)帳戶進(jìn)行的一切變更)，通常無特殊原因設(shè)為no，(同一網(wǎng)段內(nèi)不可有兩個PDC,他們會每5分鐘搶主控權(quán)一次)（21）winssupport的語法如下：winssupport=<yes/no>;預(yù)設(shè)：winssupport=yes說明：設(shè)定sambaserver是否想網(wǎng)絡(luò)提供WINS服務(wù)，通常無特殊原因設(shè)為no。除非所處網(wǎng)絡(luò)上沒有主機(jī)提供WINS服務(wù)且需要此臺sambaserver提供WINS服務(wù)是才設(shè)yes，其他winssupport和winsserver只能選擇一個。（22）winsserver的語法如下：winsserver=<IP地址>;預(yù)設(shè)：winsserver=w.x.y.z說明：設(shè)定sambaserver是否要使用別臺主機(jī)提供的WINS服務(wù)，通常無特殊原因設(shè)為no。除非所處網(wǎng)絡(luò)上有一臺主機(jī)提供WINS服務(wù)才要設(shè)yes，其他winssupport和winsserver。例如，winsserver=表示sambaserver要使用提供的WINS服務(wù)。[homes] comment=HomeDirectories browseable=no writable=yes validusers=%S使用者"家"目錄，當(dāng)使用者以samba使用者身份登入sambaserver后，可以看到其家目錄，目錄名稱是使用者的帳號。[printers] comment=AllPrinters path=/var/spool/samba browseable=no guestok=no writable=no printable=yes4.Samba共享Smbclient是Samba提供一個類似ftp命令的Samba客戶程序，是一個命令行界面下訪問Samba共享強(qiáng)有力的工具，其用法如下：smbclient(選項(xiàng))(參數(shù))：二、RPCRPC，基于C/S模型。程序可以使用這個協(xié)議請求網(wǎng)絡(luò)中另一臺計(jì)算機(jī)上某程序的服務(wù)而不需知道網(wǎng)絡(luò)細(xì)節(jié)，甚至可以請求對方的系統(tǒng)調(diào)用。對于Linux而言，文件系統(tǒng)是在內(nèi)核空間實(shí)現(xiàn)的，即文件系統(tǒng)比如ext3、ext4等是在Kernel啟動時(shí)，以內(nèi)核模塊的身份加載運(yùn)行的。三、NFS服務(wù)NFS（NetworkFileSystem）即網(wǎng)絡(luò)文件系統(tǒng)，它允許網(wǎng)絡(luò)中的計(jì)算機(jī)通過網(wǎng)絡(luò)共享資源。將NFS主機(jī)分享的目錄，掛載到本地客戶端中，本地NFS的客戶端應(yīng)用可以透明地讀寫位于遠(yuǎn)端NFS服務(wù)器上的文件，在客戶端看起來，就像訪問本地文件一樣。1.NFS的工作原理（1）nfs在傳輸時(shí)使用的端口是隨機(jī)的未被使用<1024的端口，他是通過RPC（遠(yuǎn)程過程調(diào)用）服務(wù)來實(shí)現(xiàn)的。RPC的主要功能就是記錄每個NFS功能所對應(yīng)的端口號，并且將該信息傳到NFS客戶端，來實(shí)現(xiàn)連接。（2）啟動NFSserver之前要啟動RPC服務(wù)（即portmap服務(wù)），否則nfsserver就無法向RPC服務(wù)注冊。如果RPC服務(wù)重新啟動，原來已注冊好的NFS端口數(shù)據(jù)就會丟失，因此，此時(shí)RPC服務(wù)管理的NFS程序也需要重新啟動以重新向RPC注冊。2.NFS服務(wù)端配置/etc/exports：

將同一目錄共享給多個客戶機(jī)，但對每個客戶機(jī)提供的權(quán)限不同時(shí)，語法格式如下：[共享的目錄][主機(jī)名1或IP1(參數(shù)1,參數(shù)2)][主機(jī)名2或IP2(參數(shù)3,參數(shù)4)]（1）[共享的目錄]：共享到網(wǎng)絡(luò)中的文件系統(tǒng)；（2）[主機(jī)名1或IP1(參數(shù)1,參數(shù)2)]3.NFS的權(quán)限4.NFS自動掛載和自動卸載當(dāng)我們要使用NFS共享文件的時(shí)候，首先我們需要掛載，一方離線就會造成另一方等待超時(shí)，所以我們就要想到有沒有辦法自動掛載。我們可以使用autofs服務(wù)，它使用automount守護(hù)進(jìn)程來管理掛載點(diǎn)，使得文件系統(tǒng)指南被訪問時(shí)才被動態(tài)地安裝，當(dāng)一段時(shí)間不使用時(shí)，又會被自動卸載。autofs使用主配置文件/etc/auto.master來決定要定義哪些掛載點(diǎn)，然后，它使用適用于各個掛載點(diǎn)的參數(shù)來啟動automount進(jìn)程。1)主配置文件（1）autofs主配置文件/etc/auto.master中的每一個有效定義一個安裝點(diǎn)，其結(jié)構(gòu)為：mount_pointmap_file[options]其中，mount_point為安裝點(diǎn)，map_file為本安裝點(diǎn)對應(yīng)的配置文件；options為可選的，這里不使用。在安裝autofs軟件包時(shí)，同時(shí)安裝了樣本配置文件/etc/auto.master和/etc/auto.misc，例如：/misc/etc/auto.misc就是樣本配置文件中的一行，含義為定義一個安裝點(diǎn)/misc，安裝方法在/etc/auto.misc中描述。用戶也可以在其中定義自己的一行內(nèi)容，用于自動安裝NFS文件系統(tǒng)。為了描述方便，我們把安裝方法描述文件/etc/auto.misc